Rechercher
  • xdpo

Comment se mettre en conformité avec le RGPD ?

Dernière mise à jour : 31 mars

Vous avez décidé de mettre en conformité votre organisation avec le RGPD, c’est bien ! Mais après avoir consulté internet, quelques guides, le site de la CNIL, vous en êtes toujours au même point : par où commencer la mise en conformité ? xDPO vous répond en cinq étapes simples :



1. Documenter, formaliser


C’est le premier principe du RGPD : vous devez prendre les mesures adéquates et les documenter de votre propre initiative. C’est le principe d’auto-documentation (« Accountability » article 5.2 du RGPD). Vous devez être capable de prouver que vous avez démarré le processus de mise en conformité, même si vous n’avez pas tous les documents règlementaires.

Notre conseil pour démarrer : créez un dossier en ligne partagé (Sharepoint, Dropbox) dans lequel vous centralisez tous vos documents, contrats, guides en rapport avec la protection des données personnelles, même s’ils ne sont pas finalisés. Ce sera une mine d’or pour votre futur DPO ou une ressource utile en cas de contrôle de la CNIL !


2. Protéger les données

Cela paraît évident, mais la protection des données personnelles commence par la prise de mesures permettant d'assurer la sécurité des données en général (c’est l’article 32 du RGPD). N’oubliez pas que les données papiers sont aussi concernées : pensez à fermer les placards qui contiennent les dossiers du personnel. Mais la majorité de vos données concernées par le RGPD sont numériques : pensez à quelques règles simples de sécurité informatique (voir « notre conseil » ou notre page dédié aux règles essentielles pour votre cybersécurité) et à demander des garanties à vos sous-traitants (logiciels cloud, expert comptable). Notre conseil pour démarrer : la méthode « MMS » : pour sécuriser les données manipulées par votre personnel, demandez-leur d’appliquer au minimum 1/ les Mises à jour des logiciels qu’ils utilisent, sans oublier leur navigateur internet 2/ les Mot de passe doivent être unique à chaque utilisateur, être complexe et changés tous les ans minimum 3/ les Sauvegardes doivent être faites : si vous êtes cyberattaqué, ce sera la seule base à partir de laquelle vous pourrez redémarrer votre activité.

3. Recenser vos logiciels

Pour recenser les données, recensez les logiciels ! En effet, aujourd’hui toutes les données personnelles – concernées par le RGPD – passeront par un logiciel. Si vous listez les logiciels, vous aurez une bonne idée des données que vous traitez et de leur flux : d’où vient la donnée et où va-t-elle. Détectez aussi dans votre organisation les modes d’installation des logiciels : sur un serveur au sein de votre organisation (« on premise ») ou dans le cloud (dans ce cas, renseignez-vous sur la localisation de l’hébergement).

Notre conseil pour démarrer  : commencez par les logiciels qui concernent les données du personnel (SIRH ; établissement de la paie) ou les clients/ usagers (newsletter, site internet, CRM, facturation, logiciel métier).

4. Un site internet irréprochable

Votre site internet regorge d’indices publics de votre conformité RGPD. Si vous vous assurez d’avoir une vitrine publique conforme au RGPD, vous diminuerez d’autant les risques de contrôle de la CNIL ou de plaintes de personnes. Nous vous le signalons dans l'article les trois piliers d'un site internet conforme, il faut être vigilant sur les points suivants : le certificat de chiffrement https, la présence de mentions obligatoires, la gestion des formulaires de contact et la gestion des cookies.

Notre conseil pour démarrer  : sollicitez votre agence digitale ou votre service communication sur ces points. Ils doivent avoir une réponse !

5. Respecter les droits des personnes


Les données personnelles appartiennent aux personnes : elles ont donc des droits que vous devez connaître (articles 12 à 23 du RGPD) et que vous devez savoir traiter. En commençant par déterminer un moyen de communication : existe-t-il un email spécifique ? (rgpd@chezvous.fr) Générique ? (contact@chezvous.fr) Qui le relève ? Qui doit traiter le message ? En général, il y a peu de demandes, mais elles peuvent être justifiées et argumentées : il faut savoir les traiter sinon le silence peut motiver les personnes à faire un recours auprès de la CNIL.


Notre conseil pour démarrer  : créez une adresse email visible sur la page d’accueil de votre site internet et mettez en place une règle de transfert du message vers votre chef de projet RGPD.

La mise en conformité au RGPD est un mix de bon sens et de règles de forme très particulières. Avec ces cinq règles, vous serez en conformité avec les règles essentielles, pour la documentation spécifique n’hésitez pas à solliciter XPDO pour la réaliser !

78 vues0 commentaire

Posts récents

Voir tout